DORA nunmehr anwendbar - Wie gut sind der europäische Finanzsektor und seine IT-Dienstleister vorbereitet?

Das Jahr 2024 wird unter anderem als das Jahr umfangreicher Vorbereitungen auf die Verordnung (EU) 2022/2554 über die digitale operationale Resilienz im Finanzsektor("DORA") in Erinnerung bleiben, die seit dem 17. Januar 2025 Anwendung findet. Da der gesamte Finanzsektor - einschließlich der umfangreichen IT-Dienstleistungsketten - von dem neuen EU-Rahmen für Cybersicherheit im Finanzsektor betroffen ist, wurden die Vorbereitungen intensiv vorangetrieben. Wir werfen einen Blick zurück und nach vorn, wobei wir die die bevorstehenden Herausforderungen und Änderungen bewerten, die sich gerade zu Beginn des Anwendungszeitraums ergeben werden.

DORA wird als europäische Verordnung praktisch auf den gesamten regulierten EU-Finanzsektor anwendbar sein, der sich aus Erlaubnisinhabern und anderen regulierten Unternehmen zusammensetzt. Die Anpassung bestehender und die Einführung gänzlich neuer Rahmen für das Risikomanagement ist dabei eine der wichtigsten Prioritäten für Finanzunternehmen in ganz Europa. Die Entwicklung eines robusten IKT-Risikomanagementrahmens, der IT-Strategien mit Geschäftszielen und regulatorischen Anforderungen in Einklang bringt, ist von zentraler Bedeutung. Dazu gehören Strategien, Prozesse und Instrumente, die mit dem Grundsatz der Verhältnismäßigkeit (Artikel 4 DORA) in Einklang stehen und die Skalierbarkeit entsprechend der Größe, dem Risikoprofil und der betrieblichen Komplexität des Instituts gewährleisten. Doch nicht nur Finanzunternehmen haben Zeit und Ressourcen in solche Anpassungen investiert. Auch von den IKT-Drittdienstleistern (Third-party Service Provider – "TPSP"), die IKT-Dienstleistungen für Finanzunternehmen erbringen, wurden recht umfangreiche Änderungen verlangt. Diese Einbeziehung von IKT-Drittdienstleistern kommt nicht von ungefähr, denn mehr als 40 % der Cyberangriffe auf Finanzunternehmen erfolgen durch Angriffe auf IKT-Drittdienstanbietern.

Es wurde bereits viel gesagt und geschrieben von Bird & Bird in Bezug auf verschiedene Teile von DORA. Dieser Artikel soll eine Zusammenfassung der Bemühungen des letzten Jahres sowie eine Reflexion über den aktuellen Stand der Umsetzung von DORA und auch ein Blick in die DORA-bezogene Zukunft sein. 

Was waren die interessantesten Themen auf Seiten der Finanzunternehmen?

Rückblick auf das Jahr 2024 

DORA beabsichtigt, die digitale Widerstandsfähigkeit des Finanzsektors zu fördern, indem es sich mit dem Risikomanagement in Bezug auf Dienstleistungen, Risiken und Drittdienstanbietern von IKT befasst. Ein wirksames Risikomanagement im Rahmen von DORA beginnt mit der Identifizierung von Risiken und der Umsetzung von Maßnahmen zur Risikominderung. 

Während des gesamten Jahres 2024 haben die Finanzunternehmen erhebliche Anstrengungen unternommen, um diese Anforderungen zu erfüllen, wobei sie zugleich mit Herausforderungen konfrontiert waren, die sich aus ihrer betrieblichen Größe und Komplexität ergaben. 

Viele größere Finanzunternehmen, die bereits Vorgaben zu Risikomanagementrahmen wie den EBA-Leitlinien für Auslagerungsvereinbarungen, den EBA-Leitlinien für IKT- und Sicherheitsrisikomanagement oder den EIOPA-Leitlinien für IKT-Sicherheit und -Governance, den EBA-Leitlinien für die Auslagerung an Cloud-Dienstleister oder den nationalen Vorschriften für das IT-Risikomanagement im Rahmen der CRD IV unterliegen, sind bereits mit dem Konzept der Auslagerung und des IKT-Risikomanagements vertraut und verfügen über Systeme zur Bearbeitung solcher Risiken. Die DORA verlangt jedoch die Einführung eines umfassenden IKT-Risikomanagementrahmens, sodass IKT-Risiken der Finanzunternehmen ein- und ganzheitlich behandelt werden können. 

So haben viele größere Institute Herausforderungen stemmen müssen, wie etwa umfangreiche Analysen des Quellcodes von Drittanbietern und der firmeneigenen Software auf Schwachstellen und Anomalien mittels statischer und dynamischer Anwendungstests durchzuführen. DORA ist von Natur aus eine Schnittstellenmaterie, weshalb viele Abteilungen in größeren Unternehmen enger zusammenarbeiten müssen als in der Vergangenheit. Dies erfordert die Einbeziehung wichtiger organisatorischer Funktionen - wie Compliance, Recht, Innenrevision und Risikomanagement - sowie technische Beiträge von IKT-Experten und Beratern, um sicherzustellen, dass die IKT-Risikomanagement-Rahmenbedingungen nicht nur mit bewährten Marktpraktiken im Bereich des IKT-Risikomanagements, sondern auch mit strategischen und regulatorischen Perspektiven in Einklang gebracht werden . 

Angesichts der letztendlichen Verantwortung, die dem Leitungsorgan von Finanzunternehmen gemäß Artikel 5 Absatz 2 Buchstabe a der DORA zugewiesen wird, d. h. seiner aktiven Rolle bei der Genehmigung, Umsetzung und Überwachung des IKT-Risikomanagementrahmens, erfordert dies die Gestaltung einer klaren und wirksamen Delegation von Befugnissen und Verantwortlichkeiten an die leitenden Angestellten und die operativen Funktionen sowie klar definierte interne Verwaltungsregeln.

Währenddessen standen andere beaufsichtigte Unternehmen, die bisher nicht den oben genannten Leitlinien und IKT-Risikomanagementvorschriften unterlagen, vor größeren Herausforderungen, die von Grund auf und aus allen Blickwinkeln angegangen werden mussten. So müssen beispielsweise MiCAR-regulierte Krypto-Asset-Dienstleister oder ECSPR-regulierte Crowdfunding-Dienstleister gleichzeitig MiCAR/ECSPR und DORA einhalten.  

Während des gesamten Jahres 2024 haben wir eine weit verbreitete Unsicherheit bezüglich der DORA-Compliance-Praktiken beobachtet. Die Fragen bezogen sich häufig auf die Erstellung und Umsetzung interner Governance-Dokumente, Protokolle für das Incident Management sowohl für den internen Betrieb als auch für die Zusammenarbeit mit TPSPs und Ansätze für Threat Led Penetration Testing ("TLPT"), um nur einige der am häufigsten gestellten Fragen zu nennen. Ein immer wiederkehrendes Thema war die "Übersetzung" der DORA-Anforderungen in durchsetzbare Vertragsklauseln, ein Thema, das wir weiter unten ausführlicher erörtern, und das eine sorgfältige rechtliche und betriebliche Integration erfordert.

Darüber hinaus war die Umsetzung von DORA eine besondere Herausforderung, da es keine endgültige delegierte Rechtssetzung (technische Regulierungsstandards – "RTS" und technische Durchführungsstandards – "ITS") gab. Unklarheiten in den DORA-Bestimmungen - wie z. B. der Umfang von IKT-Dienstleistungen - in Verbindung mit begrenzten aufsichtlichen Leitlinien schufen erhebliche Hürden für Unternehmen, die einen konformen IKT-Risikomanagementrahmen einrichten wollten.

Der Status quo: die Bereitschaft der Finanzunternehmen 

Während zu Beginn des Jahres 2024 vieles unklar war, hat die Veröffentlichung der endgültigen Entwürfe der ITS und RTS für mehr Klarheit gesorgt, so dass sich Finanzinstitute und TPSPs besser auf die Einhaltung des DORA vorbereiten können. Leider gibt es in der Branche noch keine Präzedenzfälle, da Branchenstandards und Aufsichtspraktiken erst noch entwickelt werden müssen. Allerdings haben etablierte Sicherheitsstandards wie die ISO 27001-Zertifizierung nützliche Anhaltspunkte für die Bemühungen des Finanzsektors geliefert.

Dennoch haben sich das Bewusstsein und die strategische Planung der Finanzinstitute deutlich verbessert. Sowohl die Finanzinstitute als auch die TPSP haben unter anderem damit begonnen, Schwachstellen zu ermitteln, die Testverfahren zu verbessern und proaktiv umfassende operative Rahmen zu entwickeln. 

Es ist ein positiver Trend hin zu einem "Kenne-deinen-IKT-Anbieter"-Ansatz zu beobachten, was bedeutet, dass Finanzinstitute Zeit und Ressourcen investiert haben, um sowohl die in ihre eigenen Abläufe integrierten IKT-Dienste als auch die der TPSPs, auf die sie angewiesen sind, besser zu verstehen.

Es wird erwartet, dass dieser Ansatz die digitale Resilienz und die DORA-Konformität in Bezug auf das Risikomanagement für Dritte verbessert und gleichzeitig IKT-gestützte Dienstleistungsanbieter in die Lage versetzt, ihre Dienstleistungen besser auf die Bedürfnisse der Finanzinstitute und die DORA-Anforderungen abzustimmen. 

Der Grad der Bereitschaft der Finanzinstitute variiert jedoch je nach ihrer Größe. Größere Finanzinstitute, die über einen fortgeschritteneren digitalen Reifegrad und bestehende Risikomanagementsysteme verfügen, sind kleineren Finanzinstituten auf dem Weg zur Einhaltung der Vorschriften voraus. Dennoch stehen sowohl größere als auch kleinere Finanzinstitute weiterhin vor erheblichen Herausforderungen im Zusammenhang mit dem Risikomanagement für Dritte.

Blick in die Zukunft: Überwindung von Silo-Governance und Stärkung der Resilienz

Aufbauend auf den Erfahrungen von 2024 müssen Finanzinstitute das IKT-Risikomanagement in die übergreifende Unternehmensführung integrieren, um den traditionellen Fehler zu vermeiden, Technologie als separaten technischen Bereich zu behandeln. DORA betont die letztendliche Verantwortung der Leitungsorgane und unterstreicht die Notwendigkeit eines Engagements auf höchster Ebene bei der Genehmigung, Umsetzung und Überwachung des IKT-Risikomanagementrahmens. Institutionen, die rechtliche und regulatorische Erwägungen weiterhin aufschieben oder sie als zweitrangig gegenüber technischen Fragen betrachten, riskieren Compliance-Lücken.

Wichtige Maßnahmen, die Leitungsorgane von Finanzunternehmen stets berücksichtigen sollten:

1. Klare Governance-Strukturen

• Definition und Dokumentation der Rollen und Zuständigkeiten für das IKT-Risikomanagement unter Übereinstimmung mit DORA.
• Einrichtung bzw. Ausbau von Ausschüssen, die sich mit der digitalen Resilienz befassen und einen funktionsübergreifenden Beitrag leisten.

2. ‘Three Lines of Defense’ Modelle

• Aufrechterhaltung einer angemessenen Trennung und Unabhängigkeit zwischen IKT-Risikomanagement-, Kontroll- und internen Funktionen.
• Förderung klarer Zuständigkeits- und Rechenschaftsmechanismen sowie wirksamer Kommunikationskanäle, um die Koordinierung zu verbessern und Versäumnisse bei der Aufsicht zu verringern.

3. Schulung und Sensibilisierung des Vorstands

• Gezielte Schulungen zu IKT-Risiken, gesetzlichen Verpflichtungen und sich entwickelnden Bedrohungen, damit die Leitungsorgane die IKT-Risikomanagementstrategien wirksam überwachen und unterstützen können.

4. Regelmäßige Überprüfungen und Audits

• Durchführung planmäßiger Überprüfungen und unabhängiger Audits, um die Einhaltung der DORA-Vorschriften zu bestätigen und etwaige Schwachstellen zu beseitigen.

5. Integrierter technischer und rechtlicher Ansatz

• Koordinierung der DORA-Compliance zwischen ICT-, Rechts- und Compliance-Teams, um eine kohärente Governance zu gewährleisten und blinde Flecken zu vermeiden.
• Angleichung der vertraglichen Vereinbarungen an die DORA-Anforderungen, Förderung der Klarheit bei den Dienstleistungsvereinbarungen und den Verpflichtungen der Anbieter.

6. Jährliches Aktivitätsrad und DORA-Berichterstattung

• Umsetzung eines jährlichen Plans zur Überprüfung der IKT-Risikoklassifizierung, Aktualisierung des IKT-Risikomanagementrahmens, Durchführung einer Due-Diligence-Prüfung für neue TPSP und Pflege des Informationsregisters (RoI).
• Regelmäßige Berichterstattung über die Einhaltung der DORA-Bestimmungen und die mit den Vorfällen verbundenen Kosten an die Vorstände zur strategischen Entscheidungsfindung und Ressourcenzuweisung.

Da TPSP ebenfalls von DORA betroffen sind, wenn auch indirekt, besteht eindeutig die Notwendigkeit, auch auf der Seite der TPSP einige Maßnahmen zu ergreifen, wie z. B. Routinen für die Kommunikation von Vorfällen, Audit-/Review-Routinen, Schulungen usw. 

Wir erwarten, dass sich im Laufe des Jahres Branchenpraktiken und aufsichtliche Präzedenzfälle herausbilden werden. Die EBA hat bereits angekündigt, dass sie an einer Überarbeitung der Leitlinien für das IKT- und Sicherheitsrisikomanagement arbeitet. Zu den weiteren Entwicklungen wird hoffentlich auch eine sinnvolle Umsetzung der zunehmend weitläufigen Regulierungslandschaft gehören, einschließlich Klarheit über die Meldepflichten im Rahmen verschiedener Rechtsvorschriften wie NIS2 und GDPR. Ein Aufgehen der PSD2-Meldepflichten in das DORA-Vorfallsmeldewesen ist bereits angekündigt worden.

Einer der Hauptvorteile von DORA könnte daher darin bestehen, dass es die Möglichkeit eines gestrafften, kohärenten und damit wirksameren Regulierungsrahmens für den wichtigsten nichtfinanziellen Risikofaktor für Finanzinstitute 

Was waren die interessantesten Themen auf der Vertragsseite?

Eine der interessantesten Herausforderungen, auf die wir gestoßen sind, war die Tatsache, dass es als neue EU-Verordnung derzeit keine etablierte Praxis oder Entscheidungen von Regulierungsbehörden gibt, die festlegen, was „gut“ ist, wenn es um die Umsetzung der Anforderungen von Artikel 28(7) und 30 geht (in denen die wichtigsten Änderungen festgelegt sind, die an Verträgen für die Erbringung von IKT-Dienstleistungen zwischen Finanzunternehmen und IKT-Drittanbietern vorgenommen werden müssen). Für die Zwecke dieses Artikels bezeichnen wir diese Änderungen als „DORA-Vertragsänderungen“.

Infolgedessen sehen wir eine Reihe von Ansätzen zur Umsetzung der DORA-Vertragsänderungen: von Finanzunternehmen, die versuchen, die DORA-Vertragsänderungen wortwörtlich in ihre Verträge aufzunehmen, bis hin zu IKT-Drittdienstleistern, die sich den Änderungen widersetzen, indem sie für einen verhältnismäßigeren Ansatz plädieren, der von den Finanzunternehmen in Anbetracht der Art der erbrachten IKT-Dienstleistungen gewählt werden sollte.

Im Allgemeinen lassen sich die Herausforderungen in zwei Kategorien einteilen:

Wenn die DORA-Vertragsänderung ähnliche Anforderungen wie die EBA-Leitlinien für Auslagerungsvereinbarungen abdeckt, dann haben wir weniger Herausforderungen gesehen, da diese Anforderungen auf dem Markt gut bekannt sind und viele IKT-Drittdienstleister, die im Finanzdienstleistungssektor tätig sind, sich bereits damit auseinandersetzen mussten und folglich ihre Bedingungen aktualisiert haben, um diese Anforderungen zu erfüllen. Der einzige Haken an der Sache ist die Tatsache, dass DORA eine EU-Verordnung ist (und daher als Rechtsvorschrift gilt, wenn auch vorbehaltlich des Grundsatzes der Verhältnismäßigkeit), die eingehalten werden muss, während es sich bei den EBA-Leitlinien für Auslagerungsvereinbarungen um Leitlinien handelt, so dass es mehr Spielraum gab, wie strikt sie eingehalten werden.

Wenn die DORA-Vertragsänderung Anforderungen in Bezug auf die Vergabe von Unteraufträgen, den ÖPNV und die neuen Kündigungsrechte in Artikel 28 Absatz 7 umfasst, haben wir mehr Debatten und Verhandlungen erlebt. Zum Beispiel:

• Unterauftragsvergabe: Eine der strengsten Anforderungen betrifft die Unterauftragsvergabe gemäß Artikel 30 Absatz 2 Buchstabe a und den zugehörigen RTS über die Vergabe von Unteraufträgen für IKT-Dienstleistungen, die kritische oder wichtige Funktionen unterstützen (die "Unterauftrags-RTS"). Gemäß diesem Artikel und den Unterauftrags-RTS müssen bestimmte Bedingungen aus dem Vertrag zwischen dem Finanzinstitut und dem TPSP in die gesamte Lieferkette des Unterauftragnehmers einfließen. Viele TPSPs haben diese Anforderung als problematisch empfunden (denn je weiter man in der Lieferkette nach unten geht, desto schwieriger ist es für den TPSP, die Weitergabe von Bedingungen anzuordnen) und haben sich auf den Verweis in den Erwägungsgründen der Unterauftrags-RTS gestützt, wonach der Schwerpunkt auf denjenigen Unterauftragnehmern liegen soll, die die Dienstleistungen tatsächlich unterstützen, um zu argumentieren, dass solche Anforderungen auf die „wesentlichsten“ oder „kritischsten“ seiner Unterauftragnehmer beschränkt werden sollten, wie im jeweiligen Vertrag angegeben. Darüber hinaus haben wir gesehen, dass TPSPs in Bezug auf Flow-Down-Anforderungen (die sich auf wesentliche oder kritische Unterverträge von Unterauftragnehmern konzentrieren) einen zweistufigen Ansatz verfolgen: Sie verpflichten sich, bestimmte Bedingungen weiterzugeben (z. B. in Bezug auf die Gewährleistung, dass der betreffende Untervertrag ein angemessenes Sicherheitsniveau aufweist, oder in Bezug auf Überwachungs- und Berichterstattungsbedingungen, wie sie in den RTS für Unterauftragnehmer vorgeschrieben sind), verpflichten sich dann aber auch, angemessene Anstrengungen zu unternehmen, um zu versuchen, andere Bedingungen weiterzugeben (z.B. in Bezug auf Audit-, Inspektions- und Zugangsrechte, wo viele IKT-Drittdienstleister Schwierigkeiten haben, sich zu verpflichten, dass ihre wesentlichen Unterauftragnehmer dem Finanzinstitut dieselben Audit-, Inspektions- und Zugangsrechte gewähren wie der IKT-Drittdienstleister dem Finanzinstitut) 
  
  
• Zusätzliche Kündigungsrechte: In Artikel 28 Absatz 7 werden zusätzliche Kündigungsrechte festgelegt, die in die entsprechenden Verträge aufgenommen werden müssen. Die Herausforderung besteht darin, dass die Formulierung des Artikels unklar und vage ist. Viele Finanzunternehmen haben die Anforderungen einfach kopiert, ohne sich Gedanken über ihre Absicht zu machen. Wir beobachten jedoch jetzt, dass IKT-Drittdienstleister versuchen, die entsprechenden Kündigungsrechte einzubeziehen, allerdings auf präzisere Weise, indem sie argumentieren, dass die Anforderungen von Artikel 28(7) auf allgemeinen Grundsätzen beruhen, die dann entsprechend ausgelegt werden müssen (und dieser Ansatz wurde von einigen Finanzunternehmen akzeptiert). So ist beispielsweise Artikel 28 Absatz 7 Buchstabe b) sehr weit gefasst. Infolgedessen haben wir erlebt, dass IKT-Drittdienstleister ihn zu einem Recht des Finanzinstituts umformulieren, den betreffenden Vertrag zu kündigen, wenn der IKT-Drittdienstleister wesentliche Änderungen an diesem Vertrag vornimmt (die nicht dem Verfahren zur Änderung oder Modifizierung eines solchen Vertrags entsprechen), die sich auf die Fähigkeit des Finanzinstituts auswirken, seinen aufsichtsrechtlichen Verpflichtungen nachzukommen, und die Parteien unter diesen Umständen nicht in der Lage sind, sich auf eine geeignete Vorgehensweise zu einigen, nachdem sie die Fragen über einen vereinbarten Zeitraum hinweg erörtert haben.
  
  
• TLPT: Diese neue Verpflichtung der Finanzinstitute, ihre kritischen oder wichtigen Funktionen mit Hilfe von Pen-Tests zu überprüfen und sich bei Bedarf die Unterstützung von TPSPs zu sichern, hat eine Reihe von Formulierungsproblemen aufgeworfen. 

Erstens wird die Verpflichtung höchstwahrscheinlich nur für große Finanzunternehmen gelten, aber alle Finanzunternehmen, deren kritische oder wichtige Funktionen durch IKT-Dienste unterstützt werden, müssen diese Unterstützung in ihren DORA-Zusätzen regeln. 

Zweitens sind Anbieter von Single-Tenant-Cloud-Diensten nur sehr ungern bereit, Pen-Tests in ihren IKT-Produktionsumgebungen zuzulassen (wie von DORA gefordert), was die Kontinuität und Sicherheit ihrer für andere Kunden erbrachten Dienste gefährden könnte. 

Drittens sind die von den ESA verabschiedeten RTS zum TLPT, die viele detaillierte Leitlinien und Anforderungen für die Pen-Test-Methodik enthalten, nur schwer in die derzeit ausgearbeiteten DORA-Addenda zu übertragen, da der Anwendungsbereich, die Szenarien, die Sicherheitsmaßnahmen und andere Merkmale eines bestimmten TLPT erst zu einem späteren Zeitpunkt von Fall zu Fall festgelegt werden. 

Infolgedessen ist es schwierig, die erforderliche Unterstützung von TPSPs einzuschätzen und daraufhin angemessene, verhältnismäßige vertragliche Schutzvorkehrungen zu treffen. Darüber hinaus gibt es keine Praxis oder weitere Leitlinien der Aufsichtsbehörden für die in Artikel 26 Absatz 4 DORA vorgesehene potenzielle Ausnahmeregelung, die einen gebündelten TLPT durch den TPSP ermöglicht. Die in Art. 26 Abs. 4 DORA vorgesehene Ausnahmeregelung, die einen gepoolten TLPT durch den IKT-Drittdienstleister ermöglicht. Die Ausnahmeregelung wird zwar häufig in Verträgen verwendet, aber in der Praxis weiß niemand, wie sie anzuwenden ist. 
Wir müssen nun darauf warten, dass das erste DORA-konforme TLPT durchgeführt und von den zuständigen Behörden offiziell bescheinigt wird.

Die Bereitschaft der ESA und der zuständigen nationalen Behörden

Unter DORA werden die Aufsichtsbefugnisse weitgehend bei den ESAs liegen, die bisherige nationale cybersicherheitsspezifische Verwaltungspraxis wird weitgehend aufgehoben. Da sich die Regulierungskompetenzen auf die europäische Ebene verlagern, mussten die nationalen Regulierungsbehörden bei ihren vorbereitenden Arbeiten ihr Verständnis von DORA stets vom letzten Wort der zuständigen europäischen Behörden abhängig machen.

In einem kürzlichen Aufruf an die Branche haben die ESAs die Finanzunternehmen und TPSPs aufgefordert, ihre Vorbereitungen voranzutreiben, um sicherzustellen, dass sie bereit sind, die DORA einzuhalten. Einige zuständige nationale Behörden haben außerdem angekündigt, dass die zuständigen nationalen Behörden die Bereitschaft der Finanzunternehmen zur Einhaltung der Vorschriften kurz nach dem Datum der Anwendung der DORA überprüfen werden. 

Darüber hinaus haben die ESAs vor kurzem den Zeitplan für die Erhebung der Informationen für das RoI bekannt gegeben, der auf den 30. April 2025 festgelegt wurde, wenn die zuständigen nationalen Behörden die RoI spätestens an die ESA melden müssen. Nach dieser Ankündigung haben einige zuständige nationale Behörden die nationalen Zeitpläne für die Erhebung der RoI von Finanzunternehmen bekannt gegeben, die irgendwann zwischen Mitte März und Mitte April 2025 erfolgen wird, um die Frist vom 30. April an die ESAs einzuhalten. In Anbetracht der kurzen Zeitspanne nach der jüngsten Veröffentlichung der IVS zu den RoI im Amtsblatt ist es dringend erforderlich, diese Aufgabe angesichts der kurzen Zeitspanne, in der die Informatoinen an die zuständigen nationalen Behörden zu melden sind, zu erledigen. 

Zur Erleichterung des Wissensaustauschs haben die ESAs kürzlich einen Dry Run durchgeführt, bei der die ESAs wertvolle Erkenntnisse darüber mit Unternehmen austauschten, was bei der Erhebung der Informationen durch die ESA zu erwarten ist. Unter anderem wurde bestätigt, dass LEI und EUID die einzigen Identifikatoren sind, die für TPSPs und die Unterauftragnehmer von TPSPs, die kritische oder wichtige Funktionen oder wesentliche Teile davon liefern, zu verwenden sind, wobei europäische TPSPs sowohl durch LEI als auch EUID identifiziert werden können, während TPSPs mit Sitz außerhalb Europas nur durch LEI identifiziert werden können. Des Weiteren wurde bestätigt, dass die gemeldeten Informationen bei Erhalt auf korrekte Eigenschaften validiert werden müssen, um akzeptiert zu werden. Wenn die Validierung fehlschlägt, werden die Informationen an die zuständige nationale Behörde zurückgeschickt, die dann das betreffende Finanzunternehmen auffordert, eine konforme Version erneut einzureichen. 

Darüber hinaus bereiten sich die ESAs derzeit auf die Bewertung von TPSPs zum Zweck der Ausweisung als kritische TPSPs vor. In der kürzlich veröffentlichten Entscheidung haben die ESAs angekündigt, dass die den ESAs gemeldeten RoI eine wichtige Informationsquelle für die ESAs darstellen, um die Kritikalität von TPSPs zu bewerten und die Ausweisung vorzunehmen. Derzeit ist noch nicht klar, welche TPSP als kritisch eingestuft werden sollen, die endgültigen Informationen zur Einstufung werden jedoch voraussichtlich Mitte 2025 bekannt gegeben. 

Nationale Rechtsakte zur Ergänzung von DORA

Da es sich bei DORA um eine Verordnung handelt, ist sie unmittelbar anwendbares Recht und muss in allen Mitgliedstaaten so angewendet werden. Da DORA jedoch keine Bestimmungen über Sanktionen enthält, sind die Mitgliedstaaten befugt, nationale Behörden zu benennen, die für die Beaufsichtigung von Finanzunternehmen im Hinblick auf die Einhaltung der DORA-Vorschriften zuständig sind und Sanktionen bei Nichteinhaltung verhängen können. Darüber hinaus wurde mit der begleitenden DORA-Richtlinie (EU) 2022/2556 der bestehende Rechtsrahmen im Hinblick auf die DORA-Anforderungen teilweise angepasst, indem das Cybersecurity-Risikomanagement in die bestehenden allgemeinen europäischen Risikomanagementvorschriften integriert. Einige Mitgliedstaaten haben bereits nationale Rechtsakte zur Ergänzung der DORA-Richtlinie erlassen, z. B. in Schweden und Deutschland (über das Finanzmarktdigitalisierungsgesetz).

Einige Mitgliedstaaten scheinen sich mit der Umsetzung der ergänzenden Vorschriften zu verspäten, aber es wird erwartet, dass sie in Kürze folgen werden. So wurde beispielsweise in Polen die Verabschiedung der DORA-Durchführungsbestimmungen um einige Wochen verschoben, um sie mit der ebenfalls verzögerten lokalen Umsetzung der NIS2-Richtlinie in Einklang zu bringen.

Schlussfolgerungen

DORA ist ein wichtiger Schritt in den Bemühungen der EU, die digitale Resilienz des Finanzsektors zu verbessern, der sich in den letzten Jahren in hohem Maße auf IKT-Dienste verlassen hat. Die Verabschiedung einer EU-Verordnung ist ein dringend notwendiger Schritt, um europaweit gleiche Wettbewerbsbedingungen zu schaffen, auch wenn wir die Unterschiede in den Aufsichtspraktiken der einzelnen Mitgliedstaaten und ihre Auswirkungen auf die Finanzunternehmen erst noch erkennen müssen. 

Während 2024 der Grundstein für die DORA-Konformität gelegt wurde, wird 2025 ein ausgereifterer und vollständig integrierter Ansatz erforderlich sein. Durch die Verbindung von technischer Sorgfalt mit rechtlichen, regulatorischen und Corporate-Governance-Erwägungen können Finanzunternehmen ein fragmentiertes oder isoliertes IKT-Risikomanagement hinter sich lassen und einen kohärenten Rahmen schaffen, der die Verantwortlichkeit des Vorstands unterstreicht. Ein solcher Ansatz wird es den Unternehmen - unabhängig von ihrer Größe - ermöglichen, die Risiken Dritter besser zu managen, die Widerstandsfähigkeit zu erhöhen und das übergreifende Ziel von DORA, den Finanzsektor vor digitalen Bedrohungen zu schützen, zu erreichen.

Abschließend empfehlen wir dringend, die Bemühungen zur Schließung möglicher Lücken zu verstärken und einen robusten, strukturierten Ansatz zu wählen, um die Verpflichtungen rechtzeitig zu erfüllen.